
PCT/EP 9 9 / U U y U 

Btc i. 2 8 DEC 1999 I 



KONINKRIJK DER 




fWlPO 



PCT 



NEDERLANDEN 

Bureau voor de Industriele Eigendom 



Hierbij wordt verklaard, dat in Nederland op 10 februari 1999 onder nummer 101 1270, 
ten name van: 

PTT POST HOLDINGS B.V. 

te Den Haag 

een aanvrage om octrooi werd ingediend voor: 

"Werkwijze en inrichtingen voor het afdrukken van een frankeerkenmerk op een document", 
onder inroeping van een recht van voorrang, gebaseerd op de in Nederland op 20 november 1 998 
onder nximmer 1010616 ingediende aanvrage om octrooi, en 

dat de hieraan gehechte stukken overeenstemmen met de oorspronkelijk ingediende stukken. 



Rijswijk, 1 oktober 1999. 



De DirecteiipA^ het Bureau voor dejijd^triele Eigendom, 
voor deze 



PRIORITY DOCUMENT 

SUBMITTED OR TRANSMITTED IN 
COMPLIANCE WITH 
RULE 17.1(a) OR(b) 



Uittreksel 



Werkwijze en stelsel voor het controleren van een frankeerkenmerk (28), dat tenminste 
een identificatiecode en een unieke bitstring omvat, welk stelsel middelen omvat voor: 

a. inlezen van het frankeerkenmerk (28), 

b. decoderen van het frankeerkenmerk (28), 

c. controleren of de identificatiecode correct is door deze te vergelijken met in een 
geheugen (40) opgeslagen gegevens, 

d. controleren of de unieke bitstring geldig is door deze te vergelijken met in het 
geheugen (40) opgeslagen gegevens. 
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Werkwijze en inrichtingen voor het afdrukken van een frankeerkenmerk op een document 

De onderhavige uitvinding heeft betrekking op een werkwijze voor het controleren 
van een frankeerkenmerk, dat tenminste een identificatiecode en een unieke bitstring 
5 omvat. 

Met een "frankeerkenmerk" wordt hier bijvoorbeeld verwezen naar een elektroni- 
sche postzegel, dat wil zeggen een door een frankeermachine of een printer op een 
poststuk afgedrukt kenmerk, dat onder meer een frankeerwaarde voor het poststuk kan 
vertegenwoordigen. In het kader van de onderhavige uitvinding heeft "frankeerkenmerk" 

10 echter een brede betekenis, Het begrip "frankeerkenmerk" kan naar allerlei typen 
kenmerken verwijzen die op willekeurige documenten kunnen worden aangebracht ter 
beveiHging van de documenten. DergeHjke documenten kunnen behalve poststukken ook 
waardedocumenten zijn, zoals toegangskaarten, betaalbewijzen, enz., die met een 
dergelijk kenmerk worden beveihgd. 

15 Behalve de details van het controleproces is de materie van de onderhavige 

uitvinding ook beschreven in Nederlandse octrooiaanvrage 1010616, waarvan de prioriteit 
wordt geclaimd. 

Het gebruik van elektronische postzegels is bijvoorbeeld bekend uit de volgende 
twee door Engineering Center voor de United States Postal Service (USPS) openbaar 
20 gemaakte documenten: "Information Based Indicia Program (IBIP), Open System 
Indicium Specification" en "Information Based Indicia Program (IBIP), Open System 
Postal Security Device (PSD) Specification", beide gedateerd 23 juli 1997 (ontwerptek- 
sten). 

Met een dergelijke werkwijze kunnen elektronische postzegels worden verkregen 
25 en op poststukken worden afgedrukt. Het apparaat, bijvoorbeeld een computer, waarmee 
de elektronische postzegel wordt afgedrukt is daartoe voorzien van een Postal Security 
Device (PSD), waarbij een unieke identificatiecode behoort. De elektronische postzegel 
omvat diverse elementen, waarvan er enkele als "security critical" worden vermeld: de 
identificatiecode van de PSD, de waarde van de inhoud van een opkliinmend register, de 
30 frankeerwaarde van het poststuk en een digitale handtekening. De inhoud van het 
opklimmende register vertegenwoordigl de totaie geldwaarde van alle tot dan toe 
afgednikte elektronische postzegels met de betreflende PSD. De combinatie van 
identificatiecode en de inhoud van het opklimmende register veilegenwoordigt een unieke 
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bitstring per poststuk. Aangezien de manier waarop deze unieke bitstring wordt 
samengesteld aan een bekende regel is gebonden, kan de waarde van een volgende unieke 
bitstring voor een volgende elektronische postzegel worden voorspeld. hetgeen nadelig is 
in verband met eventuele fraude. 

In een artikel van J. Quittner in FOX Market Wire van 9 april 1998, "Neither bugs, 
nor hackers, nor Pitney Bows will keep E-stamp from delivering your postage", 
beschikbaar op Internet op 5 mei 1998, wordt een dergelijk systeem. dat aan deze 
specificaties voldoet en afkomstig is van de firma E-Stamp, beschreven. Het systeem van 
E-Stamp maakt eveneens gebruik van een personal computer voor het afdrukken van een 
frankeerkenmerk op een poststuk direct met behulp van een reguliere, op de personal 
computer aangesloten printer. De personal computer is verbonden, via het Internet, met de 
United States Postal Service. Via Internet kunnen aldus "elektronische postzegels" bij de 
United States Postal Service worden gekocht. De frankeerwaarde van de elektronische 
postzegel wordt direct afgeboekt van het spaartegoed van de betreffende klant en 
opgeslagen en beveiligd in de PSD. De PSD is een boxje dat in de achterkant van een 
reguliere laserprinter kan worden gestoken. Zodra een gebruiker een opdracht heeft 
gegeven om een elektronische postzegel op een poststuk af te drukken, wordt een 
elektronische postzegel gedownload en print de printer een tweedimensionale 
streepjescode, waarna de waarde van de afgedrukte "postzegel" van de totale frankeer- 
waarde in de postal security device wordt afgeboekt. 

In het systeem van E-Stamp omvat de elektronische postzegel volgens de publicatie 
van J. Quittner in elk geval een identificatiecode van de gebruiker, een identificatiecode 
van de postal security device, de frank eerwaarde, het bezorgingstypc (bijvoorbeeld per 
expres), het verzendadres en de datum. Voorts kan de elektronische postzegel ook gege- 
vens bevatten met betrekking tot de verzendende firma en is ruimte voorzien voor 

eventuele advertenties. 

Het doel van de onderhavige uitvinding is om een werkwijze en een stelsel 
te verschaffen die dergelijke elektronische postzegels kunnen controleren. 

Daarom omvat de werkwijze overeenkomstig de uitvinding de volgende 

stappen 

a. inlezen van het frankeerkenmerk, 

b. decoderen van het frankeerkenmerk. 
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c. controleren of de identificatiecode correct is door deze te vergelijken met in een 
geheugen opgeslagen gegevens, 

d. controleren of de unieke bitstring geldig is door deze te vergelijken met in het 
geheugen opgeslagen gegevens. 

5 Verder omvat het stelsel voor het controleren van een frankeerkenmerk, dat 

tenminste een identificatiecode en een unieke bitstring omvat, middelen voor: 

a. inlezen van het frankeerkenmerk, 

b. decoderen van het frankeerkenmerk, 

c. controleren of de identificatiecode correct is door deze te vergelijken met in een 
1 0 geheugen opgeslagen gegevens, 

d. controleren of de unieke bitstring geldig is door deze te vergelijken met in het 
geheugen opgeslagen gegevens. 

De onderhavige uitvinding zal hierna worden toegelicht onder verwijzing naar 
enkele tekeningen, die slechts bedoeld zijn ter illustratie van de uitvinding en niet ter 
15 beperking daarvan. In het bijzonder heeft de uitvinding een bredere toepassing dan alleen 
postverkeer. 

Figuur 1 toont een uitvoeringsvorm van een systeem volgens de uitvinding, waarbij 
gebruik wordt gemaakt van een informatiedrager waarop een of nieer elektronische 
postzegels kunnen worden opgeslagen; 
20 figuur 2a toont de stappen van een werkwijze voor het verstrekken van een 

elektronische postzegel; 

figuur 2b toont de stappen van een werkwijze voor het vcrschaffen van de 
elektronische postzegel, waarbij gebruik wordt gemaakt van een teller; 

figuur 3a toont de stappen voor het afdrukken van een elektronische postzegel; 
25 figuur 3b toont de stappen voor het afdrukken van een elektronische zegel, waarbij 

gebruik wordt gemaakt van een teller; 

figuren 4a en 4b tonen de stappen van een werkwijze volgens do uitvinding waarbij 
gebruik wordt gemaakt van een personal computer; 

figuur 5 toont een systeem volgens de uitvinding, waarin gebruik wordt gemaakt 
30 van een personal computer; 

figuur 6 toont een sorteerproces voor poststukken op schematischc wijze; 

figuur 7 toont enkele elementen voor het controleren van een frankeerkenmerk; 

figuren 8 t/m 14 tonen stroomdiagrammen die het controleproccs nader illuslreren. 



In figuur 1 verwijst het verwijzingscijfer 2 naar een terminal, die bijvoorbeeld in de 
muur van een postkantoor is aangebracht. De terminal 2 kan communiceren met een 
centrale 34. bijvoorbeeld via het public switched telephone network (PSTN) 46. Com- 
municatiewegen via andere netwerken zijn uiteraard mogelijk. Daarbij kan gebruik 
worden gemaakt van Internet. Communicatie kan ook op andere wijze plaatsvinden, bij- 
voorbeeld via CDROM's, floppies, enz. 

De in figuur 1 getoonde terminal 2 omvat een processor 4, die is gekoppeld met 
weergeefmiddelen 8 voor het communiceren met een gebruiker. Tevens omvat de 
terminal 2 een geheugen 6, dat met de processor 4 is verbonden. Met het verwijzingscijfer 
10 is schematisch een toetsenbord aangeduid, waarmee een gebruiker gegevens en in- 
structies voor de processor 4 kan invoeren. Daartoe is het toetsenbord 10 verbonden met 
de processor 4. Verder is de processor 4 verbonden met een Secure Access/Application 
Module 3 (meestal "SAM" genoemd). 

In de in figuur 1 getoonde uitvoeringsvorm is de terminal 2 voorzien van twee 
invoer/uitvoereenheden 12, 14. In de invoer/uitvoereenheid 12 kan een bankpas of giropas 
worden ingevoerd. De invoer/uitvoereenheid 12 is daartoe voorzien van een of meer ge- 
schikte (niet getoonde) connectoren die met de bankpas en/of giropas 16 in contact 
kunnen worden gebracht, zoals aan de deskundige bekend is. Met een dergelijke bankpas 
en/of giropas kan de gebruiker zich zelf identificeren en een PIN-betaling verrichten. In 
het geval dat deze bankpas/giropas een elektronische beurs bevat. kan de gebruiker 
hiermee ook betalingshandelingen verrichten, bijvoorbeeld het betalen van een 
elektronische postzegel die op een poststuk moet worden afgedrukt. 

De invoer/uitvoereenheid 14 is ingericht voor het opnemen van een informatie- 
drager 18, die een chipkaart kan zijn. Daartoe zijn de invoer/uitvoermiddelen 14 voorzien 
van een of meer geschikte connectoren die met de processor (nict getoond) op de 
chipkaart 18 contact kunnen maken, zoals aan een deskundige bekend is. Op een 
dergelijke informatiedrager 18 worden, in een uitvoeringsvorm van dc uitvinding, een of 
meer elektronische postzegels opgeslagen. Dergelijke postzegels worden dan bij voorkeur 
beveiligd met een message authentication code (MAC) en/of beveil.gd door codering 
opgeslagen. 

In een uitvoeringsvorm is de giropas/bankpas een multifunctioncle chipkaart, die 
onder meer voor betalingsdoeleinden kan worden gebruikt, maar ook ruimte biedt voor 
andere toepassinyen. i-.eii voorbeeld van een dergelijke chipkaart is do Chipper^ van dc 
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Nederlandse KPN Telecom en Postbank. In dat geval kunnen de kaarten 16 en 18 dezelfde 
kaart zijn en kunnen de invoer/uitvoermiddelen 12 vervallen. 

Als alternatief kan de informatiedrager 18 ook een kaart met bijvoorbeeld een mag- 
neetstrip zijn, die zelf niet is voorzien van processormiddelen. In de magneetstrip kunnen 
5 dan door de terminal 2 gegevens worden geschreven, gelezen en verwijderd. In dat geval 
kunnen elektronische postzegels beveiligd door codering worden opgeslagen. Het is denk- 
baar dat de terminal 2 een voorraad van dergelijke magneetstripkaarten heeft en dat een 
klant een of meer van dergelijke kaarten koopt. Op de magneetstrip kunnen dan een of 
meer van dergelijke elektronische postzegels zijn opgeslagen. Dergelijke 
10 magneetstripkaarten kunnen wegwerpkaarten zijn. Als wegwerpkaarten kunnen naar 
keuze ook chipkaarten worden gebruikt. 

In figuur 1 verwijst het verwijzingscijfer 20 naar een frankeermachine. De 
frankeermachine 20 is voorzien van invoer/uitvoermiddelen 21 voor het opnemen van de 
informatiedrager 18. Tevens is de frankeermachine 20 voorzien van een processor 23, die 
15 behalve met de invoer/uitvoermiddelen 21 ook is verbonden met weegmiddelen 25, een 
drukeenheid 27 en een SAM 19. 

Via de invoer/uitvoermiddelen 21 kan de processor 23 communiceren met de 
informatiedrager 1 8. 

Met behulp van de weegmiddelen 25 kan de frankeermachine 20 het gewicht 

20 bepalen van een poststuk 22. 

Met behulp van de drukeenheid 27 kan de frankeermachine 20 vervolgens infor- 
matie 29 op het poststuk 22 afdrukken. 

De informatie 29 omvat bijvoorbeeld voor een mens leesbare gegevens 24 met 
betrekking tot de postverzendende instantie (of andere reclame), alsmcde een merkteken 

25 26 (bijvoorbeeld een streepjescode) voor het automatisch kunnen orienteren van het 
poststuk in een stempel/sorteermachine, en een frankeerkenmerk 28 bijvoorbeeld in de 
vorm van een tweedimensionale streepjescode 28, die verdere, evcniueel gecodeerde, 
informatie bevat. Het frankeerkenmerk 28 zal ten minste een unieke hitstring inhouden, 
waarvan het gebruik verderop nog zal worden toegelicht, en een idcniificatiecode. De 

30 identificatiecode identificeert de gebruiker, d.w.z. de persoon die de elektronische 
postzegel heeft aangeschaft, en/of het apparaat waamiee het frankeerkenmerk wordt 
afgedrukt. Indien de identificatiecode aan het afdrukapparaai is gekoppeld, kan deze 
bijvoorbeeld een unieke bij de SAM 19 horende code zijn. In dat gcval /.al de eigenaar van 
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de frankeermachine verantwoordelijk zijn voor eventuele fraude met het gebruik van 

elektronische postzegels. 

Als identificatiecode van de gebruiker kan het nummer van de bankpas 16 worden 
gebruikt. Het bankpasnummer is immers een uniek nummer dat gekoppeld is aan de 
gebruiker, terwijl er een behoorlijke zekerheid kan worden verschaft, dat de gebruiker de 
eigenaar van de bankpas 16 is, door hem zich te laten identificeren via een PIN-code. 

Voorts kan het frankeerkenmerk 28 informatie omvatten met betrekking tot de 
terminal 2 en de frankeermachine 20, alsmede het type postbezorging (regulier, per 

expres, aangetekend, per luchtpost, enz ). 

Ookkandefrankeerwaarde in een voor een mens leesbare vorm 31 op het 

poststuk 22 zijn afgedrukt. 

Op het poststuk 22 is ruimte ingeruimd voor het adres 30 van de geadresseerde. 

Het in figuur 1 getoonde systeem bevat een inrichting 32 om de poststukken 22 
tijdens het verzenden van de verzender naar de geadresseerde te kunnen inlezen. Indien de 
unieke bitstring direct een frankeerwaarde vertegenwoordigt, kan de frankeerwaarde 
bijvoorbeeld worden gecontroleerd. De door de inrichting 32 ingelezen gegevens worden 
toegevoerd aan de centrale 34. De informatie die door de inrichting 32 is ingelezen kan op 
elke bekende wijze aan de centrale 34 worden toegevoerd. 

Voor het invoeren van de informatie naar een, in de centrale 34 aanwezige 
processor 36 is de centrale 34 voorzien van geschikte invoermiddelen 44, die met de 

processor 36 zijn verbonden. 

Voor het uitvoeren van de werkwijze volgens de uitvinding is de centrale 34 bij 
voorkeur voorzien van drie geheugens 38, 40, 42. Dit hoeven uiteraard geen fysiek 
gescheiden geheugens te zijn. Zij kunnen verwijzen naar verschillendc velden binnen een 

groter geheugen. 

Figuur 2a geell een mogelijke uitvoeringsvorm weer van dc werking van de 

terminal 2 tijdens bedrijf 

Een klam komt bij de terminal 2 en stopt zijn bankpas 16 (hie.mee zal in het ver- 
volg zowel een bankpas/giropas of elke (muhifunctionele) chipkaan worden bedoeld) in 
de overeenkomstige invoer/uitvoermiddelen 12 De processor 4 vraagt via de monitor 8 
welk type elektronische postzegels de klant wcnst te hebben. De klan, kan bijvoorbeeld 
aangeven dat hij een iVankeerpas 18 (deze benaming zal vanaf hier worden gebruikt voor 
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elk mogelijk type informatiedrager 18) met 100 elektronische postzegels van 80 cent wil 
kopen. Dit gebeurt in stap 202. 

De processor 4 leest het nummer van de bankpas 16 in en vraagt de gebruiker zich 
te identificeren met zijn PIN-code, stappen 204 en 206. 
5 In stap 208 controleert de processor 4 op op zichzelf bekende wijze of de klant zich 

correct heeft geidentificeerd. Zo niet, dan volgt een foutmelding in stap 210. Na de 
foutmelding in stap 210 kan de processor 4 terugkeren naar het begin van het 
stroomschema dat in figuur 2a is getekend. Als altematief kan een gebruiker, zoals op 
zichzelf bekend is, drie keer de mogelijkheid krijgen om de correcte PIN-code in te 
1 0 voeren. 

Heeft een gebruiker zich op de correcte v^ijze geidentificeerd, dan springt het 
programma in de processor 4 naar stap 212 en leest het een frankeernummer in. In 
overeenstemming met de uitvinding bestaat het frankeernummer uit een bitstring die uniek 
is en is gekozen uit een verzameling van unieke bitstrings. 

15 De verzamehng van unieke bitstrings is opgeslagen in het geheugen 38 m de 

centrale 34. Deze centrale 34 is met meerdere over het land verspreide terminals 2 
verbonden en kan, bijvoorbeeld via het PSTN 46, een of meer unieke frankeernummers 
uit de verzameling unieke frankeernummers beschikbaar stellen voor de terminals 2. 
Daarbij kan per transactie een bepaalde hoeveelheid gewenste unieke frankeernummers 

20 uit het geheugen 38 in de centrale 34 naar het geheugen 6 in de terminal 2 worden 
overgedragen. Als alternatief kan ieder van de terminals 2 echter een bepaalde voorraad 
unieke fi-ankeernummers vooraf in het geheugen 6 hebben opgeslagen, zodat niet iedere 
keer bij een transactie met een klant een verbinding tussen de terminal 2 en de centrale 34 
hoeft te worden gelegd. Transmissie van de unieke bitstrings kan beveiligd op elke 

25 bekende wijze plaatsvinden. 

De verzameling unieke frankeernummers in het geheugen 38 van de centrale 34 
bestaat bijvoorbeeld uit bitstrings van 128 bits. Aldus bevat deze verzameling een zodanig 
groot aantal unieke frankeernummers, dat de behoefte aan dergelijke nummers jarenlang 
zal zijn gedekt. 

30 Bij voorkeur voorafgaand aan stap 212 betaalt de klant de iVankeerpas 18 op 

elektronische wijze. Dit gebeuH op op zichzelf bekende wijze met bchulp van de bankpas 
16. Dat wil zeggen dat als de bankpas 16 een rcgulierc bankpas is, dc hctaling plaatsvindt 
door alhocking van hot banksaldo van de klant. Dc wijze waarop dit gebeurt is aan de 
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deskundige bekend en behoeft hier. geen verdere toelichting. In het geval dat de bankpas 
16 een elektronische beurs omvat, kan het verschuldigde bedrag direct van het saldo van 
de bankpas 16 worden afgeboekt. Betaling kan ook contant plaatsvinden. 

De processor 4 verschaft dan via de invoer/uitvoermiddelen 14 een aparte fran- 
keerpas 18 waarop zowel de identif.catiecode als de betreffende frankeemummers zijn 
opgeslagen. In een uitvoeringsvorm zijn deze identificatiecode en deze frankeemummers 
opgeslagen met een message authentication code MACl, die door de SAM 3 van de 
terminal 2 tezamen met de processor van de bankpas 16 wordt berekend. Zoals bekend .s 
een MAC een checksum van aangeboden tekst, waarmee kan worden gecontroleerd of de 
aangeboden tekst valide is. Elke wijziging in de tekst (in dit geval de identificatiecode en 
de frankeemummers) kan worden waargenomen. Een MAC is alleen na te rekenen met 
een geheime sleutel, die alleen aan de SAM 3 en de bevoegde postautoriteiten bekend is. 
Het genereren van MACl en het opslaan van de nodige gegevens op de frankeerpas 18 
vindt plaats in de stappen 214 en 216. 

Als alternatief voor het berekenen van een MAC kunnen de gegevens ook geco- 

deerd worden opgeslagen. 

Ter verdere beveiliging van het geheel stuurt de processor 4 bij voorkeur een kopie 
van de identif.catiecode met de uitgegeven frankeemummers beveiligd met MACl en/of 
beveiligd door codering naar de centrale 34, die deze informatie opslaat in geheugen 40, 
zodat in een later stadium centraal eventuele fraude kan worden gecontroleerd, stap 218. 
Hierop zal hierna nog worden ingegaan. 

In het geheugen van de frankeerpas 18 kan naar wens een terminalcode zijn 
opgeslagen, die op unieke wijze de terminal 2 identif.ceert, die de frankeerpas 18 heeft 
uitgegeven. Naar wens kan deze terminalcode onderdeel uitmaken van de berekening die 
MACl heeft opgeleverd. Dan kan namelijk ook de terminalcode niet onopgemerkt 
worden gewijzigd. 

Figuur 3a toont een stroomdiagram van de werking van een frankeermachine 20 in 
overeenstemming met de werkwijze zoals toegelicht onder verwijzing naar f.guur 2a. 

Een gebruiker steekt zijn frankeerpas 18 in de daartoe beste.nde invoer/uitvoer- 
middelen 21 van de frankeermachine 20. Daarmee wordt een contact tot stand gebracht 
tussen de frankeerpas 1 8 en de processor 23 van de frankeermachitie 20. De gebruiker 
geeft via geschikte invoermiddelen (bijvoorbeeld een niet getoond toetsenbord) de 
processor 2.1 opdracht om een elektronische post/.cgel op poststuk 22 ai tc drukken. Zodra 
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de processor 23 heeft vastgesteld, dat een dergelijke instructie is ontvangen, stap 302, leest 
de processor 23 ofwel MACl met bijbehorende identificatiecode en frankeernummer 
ofwel de identificatiecode en het frankeernummer in gecodeerde vorm in van de 
frankeerpas 18. Indien aanwezig zal ook de terminalcode, die in de frankeerpas 18 is 
5 opgeslagen, worden ingelezen. 

Op basis van de ingelezen gegevens stelt de frankeermachine 20 op vooraf bepaalde 
wijze een frankeerkenmerk samen en drukt dit af op het poststuk 22, stap 306. Daartoe is 
de frankeermachine 20 op op zichzelf bekende wijze voorzien van een opening waarin het 
poststuk 22 kan worden gestoken, zodat met behulp van de drukeenheid 27 het 

1 0 frankeerkenmerk op het poststuk 22 kan worden afgedrukt. 

Het kan bijvoorbeeld zo zijn dat de processor 23 in staat is om te controleren of de 
frankeenvaarde genoeg is gezien het gewicht van het poststuk 22. Daartoe wordt het 
poststuk 22 gewogen met de weegmiddelen 25, die een weegsignaal naar de processor 23 
sturen, Het frankeernummer kan bijvoorbeeld tot een bepaalde subgroep van alle unieke 

15 frankeernummers behoren, die alleen voor poststukken tot en met 50 gram mogen worden 
gebruikt. Per gewichtsklasse en per type postbezorging is dan een aparie subgroep unieke 
frankeernummers beschikbaar. Aldus kan de processor 23 direct controleren of de 
frankeerwaarde correct is en, indien dit niet het geval is, de gebruiker waarschuwen via 
een (niet weergegeven) display. 

20 Het frankeerkenmerk wordt bijvoorbeeld in de vorm van een tweedimensionale 

streepjescode 28 op het poststuk 22 afgedrukt. Bij voorkeur omvat het frankeerkenmerk 
tenminste de volgende gegevens: het betreflfende frankeernummer, de identificatiecode 
van de gebruiker, de terminalcode van de terminal 2, en een frankeermachinecode die de 
frankeermachine 20 identificeert. Bij voorkeur worden deze gegevens voorzien van een 

25 verdere MAC (MAC2) in het frankeerkenmerk afgedrukt. Een dergelijke MAC 2 wordt 
. berekend door SAM 19 in de frankeermachine 20 tezamen met de iVankeerpas 18, die 
daarvoor van een processor (niet getoond) moet zijn voorzien. Als allcrnatief kunnen de 
gegevens ook in gecodeerde vorm worden afgedrukt, waarbij de coder ing met behulp van 
bekende cryptografische technieken (waaronder eventueel het plaatscii van een digitale 

30 handtekening) plaatsvindt. 

Naar keuze kan het frankeerkenmerk 28 ook omvatten: aclresinformatie van 
geadresseerde en verzender (eventueel retouradres), service-informal ic zoals "aangete- 
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kend", "per expres". enz., en datum en tijd. Deze informatie kan dan met de bovenge- 
noemde gegevens gecodeerd worden met behulp van bekende cryptografische technieken. 

Nadat de frankeermachine 20 het frankeerkenmerk op het poststuk 22 heeft 
afgedrukt, kan de frankeermachine 20 elk volgend gebruik van het gebruikte fran- 
keernummer op de frankeerpas 1 8 onmogelijk maken. Dit gebeurt in stap 308. Dit kan bij- 
voorbeeld gebeuren door het betreffende frankeemummer op de frankeerpas 18 te verwij- 
deren. 

Bij verzending van het poststuk 22 van een verzender naar een ontvanger, zal het 
poststuk 22 op een gegeven moment in een distributiecentrum terecht komen. Daar zal het 
poststuk 22 met behulp van de middelen 32 worden ingelezen en kan nogmaals worden 
gecontroleerd of het poststuk 22 voldoende gefrankeerd is, De middelen 32 lezen ten 
minste het frankeerkenmerk 28 in. De middelen 32 verzamelen aldus alle ingelezen 
frankeerkenmerken 28 van alle poststukken, die daarvan zijn voorzien. Alle 
frankeerkenmerken 28 worden vervolgens verzonden naar de centrale 34 en daar door de 
processor 36 via de invoermiddelen 44 ingelezen. De processor 36 slaat de ingevoerde 
frankeerkenmerken op in het geheugen 42. 

De processor 36 had in een eerder stadium reeds gegevens van de terminals 2 
ontvangen met betrekking tot ofwel uitgegeven frankeernummers met bijbehorende 
identificatiecodes en MACl's ofwel gecodeerde frankeernummers met bijbehorende 
identificatiecodes. Deze gegevens werden door de processor 36 in het geheugen 40 
opgeslagen. Aldus is de processor 36 in staat om de via de invoermiddelen 44 ontvangen 
gegevens, na opslag in het geheugen 42, te vergelijken met de in het geheugen 40 
opgeslagen gegevens. Aldus kan worden gecontroleerd of de in het geheugen 42 aanwe- 
zige frankeernummers inderdaad zijn uitgegeven. Indien er op enige wijze is geknoeid met 
het frankeemummer, de identificatiecode, de terminalcode en/of de frankeermachinecode, 
dan kan de processor 36 dit direct afleiden uit de in het frankeerkenmerk opgenomen 
MACl en MAC2 of gecodeerde gegevens. Bovendien kan de processor 36 dan herleiden 
bij welke terminal 2 en/of welke gebruiker onregelmatigheden hebben plaatsgevonden. De 
identificatiecode identificeert immers de gebruiker en/of de SAM 3 in de terminal 2 op 
unieke wijze. 

Een verdere controle vindt plaats doordat de processor 36 bijhoudt welke unieke 
frankeernummers naar de terminals 2 zijn verzonden, bijvoorbeeld door deze frankeer- 
nummers op te slaan in het geheugen 40. Uiteraard kunnen deze frankeernummers ook in 
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een ander geheugen worden opgeslagen. Ten eerste kunnen deze reeds naar de terminals 2 
verzonden frankeernummers dan niet nog een keer worden verzonden. Ten tweede 
kunnen de door de terminals 2 naar de centrale 34 verzonden gegevens dan reeds in een 
eerste ronde met de uitgegeven frankeernummers worden vergeleken, zodat direct kan 

5 worden gecontroleerd of de door de terminals 2 uitgegeven frankeernummers inderdaad 
frankeernummers zijn, die vanuit het geheugen 38 zijn verzonden. 

Als het frankeerkenmerk 28 een identificatiecode bezit die de eigenaar van de 
bankpas 16 op unieke wijze identificeert, is het mogelijk om de uitvinding uit te voeren 
met betaling achteraf De processor 36 kan dan immers uit de ontvangen frankeerk- 

10 enmerken 28 op eenduidige wijze afleiden welke klanten welke frankeernummers hebben 
gebruikt. Dit opent de mogelijkheid, dat de middelen 32 bijvoorbeeld het gewicht van het 
poststuk 22 meten en het gewicht tezamen met het frankeerkenmerk 28 meedelen aan de 
processor 36. De processor 36 stelt in dat geval op dat moment vast hoeveel de kJant voor 
het versturen van het betreffende poststuk moet betalen, een en ander afhankelijk van 

1 5 bijvoorbeeld het gewicht van het poststuk 22 en het type van verzending. Het betreffende 
bedrag wordt dan op op zichzelf bekende wijze afgeboekt van het saldo van de klant bij de 
bank. Uiteraard kan in plaats daarvan een factuur worden gestuurd of het saldo worden 
afgeboekt bij een andere bank, waarmee op op zichzelf bekende wijze een communica- 
tieverbinding tot stand wordt gebracht. Het voordeel van deze alternatieve methode is, dat 

20 het uitgeven van frankeernummers nog niet gekoppeld is aan de waarde die nodig is 
gezien het gewicht en het type van verzending van het poststuk 22. Het unieke 
frankeernummer is dan slechts een identificatie van het poststuk 22. Het frankeernummer 
hoefl dan geen informatie met betrekking tot de frankeerwaarde te omvatten. 

In theorie zijn er dus twee typen kaarten mogelijk: oplaadbare kaarten (bijvoorbeeld 

25 chipkaarten) en niet-oplaadbare kaarten (bijvoorbeeld magneetstripkaarten). Verder zijn in 
theorie in beide gevallen drie verschillende manieren van betaling mogelijk: geheel vooraf 
betalen van elke elektronische postzegel, geheel achteraf betalen van elke elektronische 
postzegel, en een combinatie van vooraf betaalde en achteraf te betalen elektronische 
postzegels. 

30 Figuren 2b en 3b tonen stroomdiagrammen voor een alternatieve uitvoeringsvorm 

van de werkwijze volgens de uitvinding. Deze alternatieve werkwijze heeft betrekking op 
een uitvoeringsvorm, waarin niet per poststuk een uniek frankeernummer wordt toegepast. 
In sommige gevallen zou een klant bijvoorbeeld 1000 of meer poststukken willen 
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frankeren. Met de op dit moment beschikbare middelen voor opslag van gegevens op 
creditkaarten en/of van magneetstrippen voorziene kaarten is het onmogelijk om 
dergelijke grote aantalien unieke frankeernummers, bijvoorbeeld bestaande uit 128 bits, 
op te slaan. Dit probleem kan worden ondervangen door een frankeernummer met een 
bepaalde tellerstand te verschaffen. 

De werkwijze voor het verschaffen van een elektronische zegel met teller wordt 
toegelicht aan de hand van figuur 2b. Stap 252 correspondeert met stap 202 uit figuur 2a. 

Stap 254 geeft op verkorte wijze weer dat een gebruiker zich moet identificeren, 
bijvoorbeeld op de wijze zoals is toegelicht aan de hand van stappen 204-210 in figuur 2a. 

Stap 256 correspondeert met stap 212 uit figuur 2a. 

Nadat de processor 4 het frankeernummer heeft ingelezen, stelt de processor 4 in 
stap 258 een tellerstand in. Dit kan de processor 4 bijvoorbeeld doen door de gebruiker via 
de monitor 8 te vragen om een dergelijke tellerstand op te geven. De hoogte van de 
tellerstand bepaalt dan het aantal malen dat het betreffende frankeernummer mag worden 
gebruikt. Als altematief kan de teller een geldwaarde vertegenwoordigen die aan 
elektronische postzegels mag worden besteed. De tellerstand kan de gebruiker via de 
toetsen van het toetsenbord 10 invoeren. 

In stap 260 genereert de processor 4 MACl over de identificatiecode van de 
gebruiker, het uitgegeven frankeernummer en de tellerstand. Deze gegevens kunnen als 
ahernatief gecodeerd worden opgeslagen. De tellerstand is dan dus ook beveiligd 
opgeslagen en kan niet onopgemerkt worden gewijzigd. 

In stap 262 slaat de processor 4 ofwel MACl met de identificatiecode, het uitgege- 
ven frankeernummer en de tellerstand o^^vel de gecodeerde gegevens op op de frankeerpas 
18. 

De frankeerpas 18 kan weer elke uitvoeringsvorm hebben zoals hierboven is 
toegelicht onder verwijzing naar figuur 2a. 

In stap 264 stuurt de processor 4 een kopie van MACl met identificatiecode, 
frankeernummer en tellerstand of de gecodeerde vorm van deze gegevens naar de centrale 
34. De centrale 34 slaat de gegevens weer op in het geheugen 40 en dus weet deze hoe 
vaak het betreffende frankeernummer mag worden gebruikt. 

Figuur 3b toont een stroomschema van de werking van frankeennachine 20 voor de 
uitvoeringsvorm waarin gebruik wordt gemaakt van een teller. 
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In stap 352 wacht de frankeermachine 20 totdat de Want een verzoek tot het 
afdaikken van een elektronische postzegel heeft gedaan. Deze stap komt overeen met stap 
302 uit figuur 3a. 

Zodra de klant dit verzoek heeft gedaan, leest de frankeermachine ofwel MACl met 
5 identificatiecode, frankeemummer en tellerstand ofwel deze gegevens in gecodeerde vorm 
in van de frankeerpas 18. Dit gebeurt in stap 354. 

In stap 356 controleert de processor 23 of de ingelezen tellerstand nog groter dan 
nul is. Is dit niet het geval, dan mag het betreflfende frankeemummer niet meer worden 
gebruikt en volgt er een foutmelding in stap 358. Het programma keert na stap 358 terug 
10 naar stap 352, 

Is de tellerstand wel groter dan nul, dan gaat het programma van de processor 23 
^ door met stap 360. In stap 360 bestuurt de processor 23 de drukeenheid 27 zodanig, dat 

het ft-ankeerkenmerk, dat door de processor 23 is berekend, wordt afgedrukt op het 
poststuk 22. Opnieuw wordt bij voorkeur dit frankeerkenmerk voorzien van MAC2. Als 
1 5 alternatief worden alle gegevens gecodeerd in het frankeerkenmerk afgedrukt. 

Daarna verlaagt de processor 23 in stap 362 de tellerstand op de frankeerpas 18 om 
aan te geven, dat het betreflfende unieke frankeemummer een keer minder gebruikt mag 
worden, of om de beschikbare waarde te verlagen. 

Uiteraard houdt de berekening van MAC2 ook rekening met de gewijzigde 
20 tellerstand. 

De actuele tellerstand maakt dan onderdeel uit van het frankeerkenmerk 28 op het 
^ poststuk 22. 

w Opgemerkt wordt, dat de combinatie van uniek frankeemummer en actuele 

tellerstand dan nog steeds een unieke bitstring inhoudt. Deze laatste bitstring heeft dan 
25 alleen meer bits dan het aantal bits van het unieke frankeemummer. 

De actuele tellerstand wordt dan meegelezen door de middelen 32 en vervolgens 
ook via de invoermiddelen 44 met behulp van de processor 36 in de centrale 34 opge- 
slagen in het geheugen 42. De processor 36 heeft dan de mogelijkheid om te controleren 
of elke combinatie van frankeemummer en tellerstand inderdaad slechts eenmaal wordt 
30 gebruikt. Aangezien de betreflfende informatie beveiligd door MAC2 of beveiligd door 
codering is opgeslagen, is ongeoorloofde wijziging van deze getallen door de processor 36 
te detecteren. 



14 

De processor 36 kan tevens controleren of de klant het frankeemummer het 
toegelaten aantal malen heeft gebruikt. 

Het zal duidelijk zijn dat de uitvoeringsvorm volgens figuren 2b en 3b, net als de 
uitvoeringsvorm volgens figuren 2a en 3a, kan worden gebruikt met betaling vooraf en 

5 betaling achteraf. 

Optioned is het mogelijk om in de uitvoeringsvorm volgens figuur 1, waar gebmik 
wordt gemaakt van de frankeerpas 18, het gebruik van de frankeerpas 18 te beperken tot 
een van tevoren geselecteerd aantal frankeer machines 20. Daartoe kunnen de frankeerpas- 
sen 18 worden voorzien van die frankeermachinecodes behorend bij die frankeermachines 
10 20, waarop gebruik van de frankeerpas 18 geoorloofd is. 

Een verdere optie is om het in figuur 1 getoonde systeem zodanig uit te voeren, dat 
ieder van de frankeerpassen 18 ook een uniek nummer krijgt toegewezen. Dan is het 
mogelijk om eventuele fraude met frankeerpassen 18 te lokaliseren. Het is dan mogelijk 
om op een willekeurige frankeerpas 18 informatie op te laten nemen met betrekking tot 
1 5 die frankeerpassen 1 8 waarmee wordt gefraudeerd. Deze informatie met betrekking tot de 
frankeerpassen 18 waarmee wordt gefraudeerd, kan dan "onder water" worden 
overgedragen naar de frankeermachines 20, die de betreffende informatie in een (niet ge- 
toond) geheugen opslaan. Als dan een klant met een frankeerpas 18 waarmee wordt 
gefraudeerd een elektronische postzegel wenst af te drukken, kan de frankeermachine 20 
20 de betreffende frankeerpas 18 detecteren en deze ongeldig maken. Dit kan gebeuren door 
ofwel de inhoud van de frankeerpas 18 te wissen of onleesbaar te maken, ofwel eenvoudig 
het afdrukken van een elektronische postzegel te weigeren. Daarmee kan verdere schade 
door eventuele fraude worden verminderd. 

Als alternatief voor het gebruik van een teller kan ook worden gewerkt met een 
25 frankeemummer, dat bijvoorbeeld een vooraf bepaald aantal dagen door de klant mag 
worden gebruikt. Dit kan alleen in de uitvoeringsvorm waarmee betaling achteraf 
plaatsvindt. In dat geval is het frankeemummer nog steeds uniek, maar wordt het fran- 
keemummer voor meer dan een poststuk 22 gebruikt. Omdat in dat geval een frankeerpas 
18 met een bepaald uniek frankeemummer een niet vooraf bepaald aantal malen kan 
30 worden gebruikt, verdient het de voorkeur in een dergelijke uitvoeringsvorm het gebruik 
van een PlN-code toe te passen, die de gebruiker van de frankeerpas 1 8 nodig heeft om de 
frankeerpas 18 bij de frankeermachine 20 te kunnen gebruiken. In dat geval moet de 
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frankeermachine 20 zodanig zijn ingericht, dat deze de bij de frankeerpas 18 behorende 
PIN-code kan controleren. 

Figuur 5 toont een alternatieve uitvoeringsvorm van de uitvinding, waarin gebruik 
wordt gemaakt van een PC van een gebaiiker in plaats van een terminal 2 zoals in figuur 1 
5 is getoond, 

Onderdelen die hetzelfde zijn in figuren 1 en 5 hebben dezelfde verwijzingscijfers. 
In figuur 5 verwijst verwijzingscijfer 52 naar de microprocessor van de PC 50 van 
een gebruiker. De microprocessor 52 is verbonden met een monitor 54, een printer 62, een 
toetsenbord 58 en, indien gewenst, een muis 60. In een uitvoeringsvorm is de micropro- 
10 cessor ook verbonden met invoer/uitvoermiddelen 14, die een bankpas 18 
(multifunctionele chipcard) kunnen opnemen. Voor het berekenen van MAC's of het 
bepalen van coderingen van de af te drukken gegevens kan de microprocessor 52 gekop- 
peld zijn aan een SAM 64. 

De microprocessor 52 is, bijvoorbeeld via het PSTN, verbonden met een server 
15 systeem 70, waarop meerdere computersystemen kunnen zijn aangesloten. Er kunnen 
meerdere server systemen zijn voorzien, ieder met hun eigen aansluitingen naar PC's. Het 
server systeem 70 is met de centrale 34 verbonden. Het server systeem 70 omvat een 
server processor 72, waarmee een SAM of HSM (= Host Security Module = een 
computersysteem met dezelfde functionaliteit als een SAM, maar met veel grotere capaci- 
20 teit) 74 is verbonden. 

Het communiceren tussen de PC 50 en het server systeem 70 kan bijvoorbeeld 
plaatsvinden rp^^t een internet protocol (IP). 

Figuur 4a toont een stroomschema van een uitvoeringsvorm van de werking van de 
PC 50 in het kader van de onderhavige uitvinding voor het opladen van een bankpas 18 
25 met een bepaald gewenst saldo, dat aan elektronische zegels kan worden besteedt. Figuur 
4b betreft het daadwerkelijk afdrukken van een dergelijke elektronische zegel met een 
dergelijke bankpas 1 8. 

In stap 402 wacht de microprocessor 52 totdat een gebruiker een verzoek tot het 
verschaffen van een saldo voor een of meer elektronische postzegels heeft gedaan. Voor 
30 het uitvoeren van een dergelijk verzoek, maakt de gebruiker gebruik van de bekende 
invoermiddelen, zoals toetsenbord 58 en/of muis 60. Daarbij steekt de gebruiker eerst zijn 
bankpas 18 in de invoer/uitvoereenheid 14. 
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Daarna vraagt de microprocessor 52 via de monitor 54 of de gebruiker zich op 
unieke wijze wil identificeren, stap 404, Dit kan bijvoorbeeld gebeuren doordat de 
gebruiker zijn bankpas 18 in de invoer/uitvoermiddelen 14 steekt, zodat de micropro- 
cessor 52 het nummer van de bankpas 18 kan lezen. Vervolgens zal de gebruiker zich, 
bijvoorbeeld met behulp van een PIN-code, moeten identificeren om duidelijk te maken 
dat hij de gerechtigde gebruiker van de bankpas 18 is. Controle van de PIN-code 
geschiedt, zoals bekend, bij voorkeur op de bankpas 18 zelf Vervolgens kan de micropro- 
cessor 52 er van uitgaan dat de gebruiker op unieke wijze is geidentificeerd met behulp 
van bijvoorbeeld het bankpasnummer. Dit gebeurt in stap 404. Als alternatief kan de 
microprocessor 52 de gebruiker vragen de combinatie van bankpasnummer en PIN of een 
andere unieke combinatie via toetsenbord 58 in te voeren, waarna deze gegevens lokaal 
door de PC 50 worden gecontroleerd. De PC 50 moet deze combinatie van gegevens dan 
wel beveiligd hebben opgeslagen. 

In stap 406 vraagt de microprocessor een uniek frankeemummer op bij de centrale 
34. Dit gebeurt op eenzelfde wijze als hiervoor is toegelicht onder verwijzing naar de 
figuren 2a en 2b. 

Vervolgens genereert de SAM 74 van het server systeem 70 tezamen met de 
bankpas 18 een MAC, MACl, over de identificatiecode van de gebruiker, het betrefifende 
frankeemummer en het saldo dat voor elektronische zegels beschikbaar is gesteld. Als 
alternatief berekent het server systeem 70 een codering van de identificatiecode, het 
frankeemummer en het genoemde saldo. Dit gebeurt in stap 408. 

In stap 410 slaat de microprocessor naar keuze MACl, de identificatiecode, het 
frankeemummer en het genoemde saldo op op de bankpas 18. Als in plaats van een MAC- 
berekening een coderingsstap heeft plaatsgevonden, worden de coderingen van de identi- 
ficatiecode, het frankeemummer en het genoemde saldo op de bankpas opgeslagen. 

In stap 412 stuurt het serversysteem 70 een kopie van ofwei MACl, de identifi- 
catiecode, het frankeemummer en het saldo ofwel de coderingen van de identificatiecode, 
het frankeemummer en het saldo naar de centrale 34. De centrale 34 zal deze gegevens 
weer opslaan in zijn geheugen 40. 

Na stap 412 is de opslag van een saldo op de bankpas 18, dat is te gebmiken voor 

elektronische zegels, afgerond. 

Figuur 4b toont hoe een gebruiker met zijn aldus van een saldo voorziene bankpas 
18 de PC 50 kan instrueren om een frankeerkenmerk op een poststuk te printen. 
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Nadat het desbetreffende programma is gestart, stap 450, wacht de PC 50 totdat de 
gebruiker een verzoek tot het afdrukken van een frankeerkenmerk heeft gedaan, stap 452. 

Via stap 454 ervaart de PC 50 hoe hoog de portokosten zijn die in het frankeer- 
kenmerk moeten worden verwerkt. De gebruiker kan de portokosten bijvoorbeeld via het 
5 toetsenbord 58 invoeren. Het is denkbaar deze stap te automatiseren met behulp van een 
met de PC 50 verbonden, automatische weegschaal (niet getoond) die het poststuk weegt, 
waarna automatisch de portokosten worden bepaald en aan de PC 50 worden doorge- 
geven. 

De gebruiker heeft zijn bankpas 18 weer in contact gebracht met de invoer/uit- 
10 voermiddelen 14 en zich weer geidentificeerd met behulp van zijn PIN-code, De 
microprocessor 52 leest MACl, de identificatiecode, het frankeernummer en het actuele 
saldo van de bankpas 18, stap 456, 

De microprocessor 52 controleert vervolgens, stap 458, of het actuele saldo 
voldoende is voor de gewenste portokosten. Zo niet, dan volgt in stap 460 een melding 
15 aan de gebruiker, die bijvoorbeeld inhoudt dat de gebruiker zijn saldo op de bankpas moet 
bijladen. 

In stap 462 instrueert de microprocessor 52 de printer 62 tot het afdrukken van een 
frankeerkenmerk, dat door de SAM 64 is berekend, op het poststuk 22 nadat de gebruiker 
het poststuk 22 in de printer 62 heeft ingevoerd. Daarbij berekent SAM 64 samen met de 

20 bankpas 18 MAC2 over alle gegevens die in het frankeerkenmerk zijn opgenomen, 
waaronder: de identificatiecode, het unieke frankeernummer, het actuele saldo en de 
portokosten. Als alternatief voor het berekenen van een tweede MAC, MAC2, kunnen 
deze gegevens gecodeerd worden. Tot de gegevens behoort bij voorkeur ook een PC-code 
die de PC 50 op unieke wijze identificeert. 

25 Na stap 462 wordt in stap 464 het actuele saldo verlaagd door daarvan de porto- 

kosten af te trekken. Het nieuwe actuele saldo vertegenwoordigt dan het bedrag dat nog 
voor verdere elektronische zegels beschikbaar is. 

Opgemerkt wordt dat bij de uitvoeringsvorm die aan de hand van figuren 4a, 
4b en 5 is beschreven een uniek frankeernummer net zolang gebruiki wordt totdat het 

30 oorspronkeiijke saldo is verbruikt. Omdat in elk frankeerkenmerk echter ook het actuele 
saldo en de actuele portokosten zijn opgenomen is er echter per poststuk nog steeds sprake 
van een unieke bitstring. 

Na stap 464 keert het programma terug naar stap 450. 
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Bij voorkeur vindt de betaling door de klant direct plaats op het moment dat de 
klant het saldo op zijn bankpas bijlaadt. Dit kan op op zichzelf bekende wijze langs 
elektronische weg plaatsvinden. De afboeking kan daarbij weer plaatsvinden via de 
centrale 34 van een centraal banksaldo of direct van de bankpas 18 als deze een elek- 
5 tronische beurs omvat. 

Het is echter eveneens denkbaar om betaling achteraf te laten plaatsvinden, zoals 
hiervoor is toegelicht onder verwijzing naar de uitvoeringsvorm van figuur 1. Daarbij 
vertegenwoordigt het op de bankpas 18 geladen saldo niet een totaalbedrag dat aan 
elektronische zegels kan worden besteed, maar het aantal malen, dat het verstrekte fran- 

10 keernummer kan worden gebruikt. Het voordeel van betaling achteraf is, dat de gebruiker 
niet vooraf zijn poststuk 22 hoeft te wegen om de juiste frankeerwaarde in het frankeer- 
kenmerk 28 aanwezig te laten zijn. Ook hier identificeert het frankeerkenmerk immers op 
unieke wijze de gebruiker, die vervolgens de rekening kan krijgen toegestuurd of van wie 
op automatische wijze afboeking van zijn banksaldo kan plaatsvinden. Bovendien 

15 garandeert de aanwezigheid van het unieke frankeemummer met identificatiecode, en het 
actuele "saldo", dat elk poststuk 22 op unieke wijze is gedentificeerd, zodat fraude direct 
kan worden opgemerkt. 

Verder wordt opgemerkt, dat het mogelijk is om in plaats van of samen met een 
identificatie van de gebruiker een identificatie van de SAM 64 in het frankeerkenmerk te 

20 verwerken. In dat geval is de eigenaar van de PC 50 met SAM 64 verantwoordelijk voor 
de correcte betaling van de elektronische postzegels en voor eventuele met de PC 50 
uitgeoefende fraude. Het is dan aan deze eigenaar om toegang tot het programma voor het 
aanschafFen van een elektronische postzegel aan autorisatieregels te binden. 

In een verdere uitvoeringsvorm met behulp van een PC 50 kan worden gewerkt met 

25 een standaard PC zonder SAM 64. In dit geval kan de PC 50 niet op veilige wijze MAC's 
berekenen. Dan wordt het frankeerkenmerk ofwe\ centraal in de centrale 34 ofwel in 
server systeem 70 geproduceerd en naar de PC 50 verstuurd. De PC 50 combineert het 
ontvangen frankeerkenmerk dan met eventuele andere informatie en drukt deze af op het 
poststuk 22 met behulp van printer 62. Dan wordt dus niet meer gewerkt met opslag van 

30 een saldo voor elektronische zegels op bankpas 18, maar wordt een frankeerkenmerk per 
keer opgehaald bij de centrale 34. In dit geval vinden betalingen van elektronische 
postzegels bij voorkeur direct plaats ofwel door het afboeken van een banksaldo van de 
gebruiker ofwel van bankpas 18 met elektronische beurs. Om eventuele fraude te kunnen 
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bestrijden moet de gebruiker zich dan op unieke wijze identificeren, bijvoorbeeld met zijn 
giro^anknumme^ en een bijbehorende PIN. Identificatie vindt dan bij voorkeur nog steeds 
plaats met bankpas 1 8 en het controleren van een PIN-code. 

In het voorgaande is beschreven hoe een frankeerkenmerk met een unieke 
5 bitstring kan worden gegenereerd en op een document kan worden afgedrukt. Claims 
gericht op dit proces zijn op 20 november 1998 ingediend met de Nederlandse 
octrooiaanvrage 1010616, waarvan de prioriteit is geclaimd. Hieronder zal nader 
worden ingegaan op de verwerking van documenten voorzien van een dergelijk 
frankeerkenmerk, en met name op de controle van de geldigheid daarvan. Daarbij zal 
10 als voorbeeld worden ingegaan op de situatie, dat de documenten poststukken 

betrefFen. Zoals eerder gesteld hoeven de documenten echter geen poststukken te zijn. 

Eerst zal een korte beschrijving worden gegeven van het "BriefPost 2000" 
systeem, dat door de Nederlandse PTT Post is ontwikkeld. Daarna wordt beschreven, 
hoe het frankeerkenmerk kan worden gecontroleerd in het sorteerproces. 

15 

BriefPost 2000. 

Automatisch sorteren binnen BriefPost 2000 is schematisch uiteen gezet in 
figuur 6 en vaU uiteen in twee produktieprocessen, voor het sorteren van respectievelijk 
"Briefpost Klein", respectievelijk Briefpost Groot, dat betrekking heeR op kleine, 
20 respectievelijk grote poststukken. 

Deze twee categorieen worden door verschillende machines gesorteerd. Echter, 
beide categorieen omvatten in principe dezelfde, maar gescheiden uitgevoerde 
sorteergangen: 

1 . eerste sorteergang: deze sorteert de post voor de sorteercentra; 
25 2. tweede sorteergang: deze sorteert de post voor het bestellen op het postadres 

of voor het afleveren in een postbus. 

In de eerste sorteergang wordt, uitgaande van de informatie van het adresbeeld 
van de post, door het codeercomputernetwerk de sorteerinformatie bcpaald. Het 
systeem heeft daarvoor in principe 30 sec. de tijd - gedurende die tijd is het poststuk 
30 fysiek in de sorteermachine aanwezig (geldt niet bij de sorteermachinc voor Briefpost 
Groot). De sorteerinformatie wordt vervolgens op de post aangebracht in de vorm van 
indexen: 
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1. sorteerindex (SIX): deze index wordt voor Briefpost Klein aangebracht bij 
succesvolle "codering"; in de eerste sorteergang wordt hiermee de sorteerinformatie 
vastgelegd, bijvoorbeeld als barcode op de post. In de tweede sorteergang kan deze 
vervolgens betrouwbaar worden gelezen; 

2. identificatieindex (IX): deze wordt voor Briefpost Groot aangebracht, of 
indien bij Briefpost Klein de codering niet tijdig beschikbaar is. Er wordt geen 
sorteerindex (SIX) afgedrukt, maar een volgnummer (IX) geplaatst. Eventuele sorteer- 
informatie wordt dan gerelateerd aan dit nummer in het computemetwerk opgeslagen. 
Bij de sorteermachine voor Briefpost Groot gebeurt dit voor alle poststukken i.v.m. een 
te korte mechanische vertragingslijn, bij de sorteermachine voor Briefpost Klein wordt 
deze methode alleen gehanteerd indien de sorteerinformatie niet tijdig (binnen 30 sec.) 
beschikbaar is. In de tweede sorteergang wordt de sorteerinformatie aan de hand van de 
identificatieindex opgezocht. Bij Briefpost Klein kan ook een identificatieindex 
gebruikt worden als de codeercomputer de sorteerinformatie niet binnen een bepaalde 
tijd kan achterhalen. De post moet dan later opnieuw de eerste sorteergang doorlopen; 

3. klantindex (KIX): deze index bevat bijvoorbeeld de postcode en het 
huisnummer, postbusnummer of antwoordnummer, bijvoorbeeld in de vorm van een 
barcode. Dit is een index die door klanten als onderdeel van het adres op de post kan 
worden vastgelegd; 

4. speciale klantindex: dit is een interne door de Nederlandse PTT Post ge- 
bruikte index die via stickers op poststukken wordt aangebracht, Deze index wordt 
bijvoorbeeld gebruikt bij verhuispost-service. 

Het codeerproces maakt, voor de eerste sorteergang Briefpost Klein, 
onderscheid tussen on-line en off-line codering: 

1. on-line codering: dit is het proces waarbij binnen een bepaalde tijd (30 sec.) 
de sorteerinformatie van de post wordt vastgesteld; 

2. off-line codering: dit is het proces waarbij, als de on-line codering niet gelukt 
is vanwege een tijdsoverschrijding, de post voorzien wordt van een identificatieindex 
(IX) en vervolgens uit de geassocieerde opgeslagen adresbeelden alsnog de sor- 
teerinformatie wordt vastgesteld, welke na een tweede doorioop van de eerste 
sorteergang alsnog op de post wordt aangebracht. 
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Figuur 7 toont een voorbeeld van een codeemetwerk, dat bij de onderhavige 
uitvinding kan worden gebruikt. Het codeemetwerk bestaat uit een codeercomputer CC 
en diverse codeermiddelen: 

1. codeercomputer CC (Coding Computer): deze verdeelt het codeerwerk over 
5 de codeermiddelen en bepaalt per poststuk de te voeren codeerstrategie; 

2. eerste adreslezer PCD (Primary Coding Device): deze bepaalt de 
sorteerinformatie voor de bulk van alle post; 

3. tweede adreslezer SCD (Secondary Coding Device): deze tracht de 
sorteerinformatie te bepalen voor post die niet door de eerste adreslezer is gecodeerd; 

10 4. adreszoeksysteem ADB (Adres Database): dit tracht in het geval van 

onbetrouwbare resultaten van de eerste adreslezer PCD en of tweede adreslezer SCD 
alsnog betrouwbare sorteerinformatie te bepalen; 

5. videocodeerstation VCD (Video Coding Device): hier kan de 
sorteerinformatie handmatig voor de overgebleven post worden bepaald; 
1 5 6. decodeereenheid DD (Decoding Device) die is ingericht voor het decoderen 

van frankeerkenmerken 28 van uitgelezen poststukken. 

Opgemerkt wordt dat verdere of alternatieve codeermiddelen in de toekomst 
mogelijk zijn. 

Het codeemetwerk is verbonden met de sorteermachines. Een belangrijk 
20 onderdeel van de sorteermachine zijn een of meer Mail Transport Units MTU. Elke 
MTU is ingericht om indexen te lezen en printen, Tevens is elke MTU voorzien van 
een camera 100 om beelden van de post op te nemen die als input dienen voor de 
codeercomputer. 

Voordat de post door een van de MTU's wordt verwerkt is deze geschift (d w.z. 

25 ingedeeld in Briefpost Klein en Briefpost Groot), opgezet in bakken (d.w.z. elk 

poststuk heeft een uniforme positie van adreszijde en frankeeraanduiding; hiervoor 
wordt bij voorkeur gebmik gemaakt van merkteken 26 op het poststuk) en gestempeld 
(d.w.z. ontwaarden van postzegels of gedrukte frankeerwaarde). Dit gebeurt bij 
voorkeur met behulp van een Schift-, Opzet-, en Stempelmachine SOSM A. De 

30 SOSMA heeft de taak om bepaalde bulkstromen te scheiden van de rest (bijvoorbeeld 
giro-opdrachtenveloppen etc.). Hiervoor wordt de FlM-code toegepast. 



Barcodelezer. 
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Er zijn verschillende opties voor de wijze waarop de barcode 28 in het proces 
gelezen kan worden. 

Er kan bijvoorbeeld gebruik gemaakt worden van de beelden die met de came- 
ra's 100 in de sorteermachines worden gemaakt als input voor het codeerproces; uit 
5 deze beelden kan via een speciale, met de camera*s 100 verbonden codeereenheid de 
inhoud van de barcodes worden terug bepaald. Dit veroorzaakt echter een forse 
toename van de gegevensstromen in het codeemetwerk, omdat 100 % van alle beelden 
extra naar een dergelijke codeereenheid moet worden gezonden. 

Een andere mogelijkheid is toepassing van een dedicated barcodelezer die als 
10 uitgangsdata bijvoorbeeld een "ascii-string" oplevert, welke vervolgens via het 

codeemetwerk verder getransporteerd kan worden naar een verificatiedatabasesysteem. 
Een dergelijke barcodelezer kan naar keuze bijvoorbeeld in de sorteermachine, maar 
ook in de SOSMA worden ingebouwd. In dit geval wordt de impact op het 
sorteerproces minimaal, en ook van nagenoeg alle met de hand te verwerken post- 
1 5 stromen kunnen hiermee de barcodes 28 worden gecontroleerd. 

Soms zal het bezorgadres, of tenminste de postcode daarvan, zijn opgenomen 
in het frankeerkenmerk. Op het moment van lezen van het frankeerkenmerk komt dus 
ook tenminste een essentieel deel van het bezorgadres beschikbaar. Deze informatie 
kan ten eerste worden gebruikt om het uitlezen van het afgedrukte bezorgadres 30 met 
20 een Optical Character Recognition (OCR) eenheid te bespoedigen en ten tweede om 
direct vast te stellen of er onregelmatigheden met het bezorgadres (en dus wellicht met 
het gebruik van de unieke bitstring) hebben plaatsgevonden. 

Unieke bitstrings & frankeerkenmerk. 

25 Zoals eerder beschreven kan de aanwezigheid van een unieke bitstring in het 

frankeerkenmerk 28 worden gebruikt als middel om de geldigheid van een frankering 
(of van een willekeuring document) aan te geven. Uitgangspunt bij de methode is het 
gebruik van een nieuwe unieke bitstring voor elke transactie. Dus een unieke bitstring 
is in dat geval slechts 1 maal geldig. Zoals vermeld kunnen beperkingen in de 

30 opslagcapaciteit van o.a. smart cards ertoe leiden, dat dit uitgangspunt bij de huidige 

(betaalbare) stand der techniek niet haalbaar is (een smart card waarmee slechts enkele, 
bijvoorbeeld minder dan 10, transacties mogelijk zijn, heeft nauwelijks praktisch nut). 
Een oplossing hiervoor is gevonden in toepassing van een "purse" of counter op de 



23 

smart card in combinatie met een unieke bitstring. Een dergelijke unieke bitstring is 
dan meerdere malen geldig, bijvoorbeeld in combinatie met een vooraf nauwkeurig 
gedefmieerd saldo. 

5 Controles. 

De controles beperken zich tot die welke in het sorteerproces mogelijk zijn. 
Figuren 8 t/m 14 tonen stroomschema's ter verduidelijking van de controles. 

Scannen van het frankeerkenmerk (figuur 8). 
10 Het poststuk 22 (brief) wordt door de MTU met de camera 100 ingelezen ten 

behoeve van het vaststellen van de adresgegevens, stap 800. Hierbij wordt een volledig 

beeld van de voorkant van het poststuk gemaakt. 

In dit beeld wordt de (twee dimensionale) barcode 28 gezocht, stap 802. 

Vervolgens wordt geanalyseerd of de barcode 28 een elektronisch zegel in de zin van 
15 de uitvinding bevat, stap 804. Is dit niet het geval, dan wordt het poststuk als reguliere 

post verwerkt, stap 806. 

Is een elektronische zegel aanwezig, dan wordt de barcode 28 

geinterpreteerd/gedecodeerd, zodat de informatie beschikbaar komt, stap 808 (zie 

volgende sectie). Hiervoor zou in het codeernetwerk (figuur 6) naast de PCD en de 
20 SCD een speciale decodeereenheid DD (Decoding Device) gelntegreerd kunnen 

worden. 

Kan om een of andere reden het frankeerkenmerk niet correct worden 
gedecodeerd, stap 810, dan wordt het poststuk naar een aparte verwerking geleid, stap 
812. Vervolgens wordt het Proof-of-Payment veld gevalideerd, stap 814. 

25 ^ 

Decoderen van frankeerkenmerk (stap 808). 

Het frankeerkenmerk 28 bevat bijvoorbeeld een 2D DataMatrix barcode. Deze 
bevat verschillende informatie-eenheden waaronder een digitale handtekening van de 
afzender (frankeerder), versleutelde (geencrypte) informatie, en niet-versleutelde 
30 gegevens (elementen). De versleutelde informatie is zelf weer opgebouwd uit 

gegevenselementen. Voor de digitale handtekening en de versleuteling wordt public 
key cryptography gebruikt, waarbij de digitale handtekening met behulp van de private 
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key van de afzender wordt gegenereerd, en de versleuteling plaatsvindt met de (van 
toepassing zijnde) public key van PTT Post. 

Een eerste controle vindt plaats op basis van de digitale handtekening. Ten 
behoeve van de controle op de betaling wordt het proof-of-payment gevalideerd (stap 
5 814). 

Valideren Proof-of-Payment (stap 814). 

Het Proof-of-Payment bevat een aantal data- en controle-elementen. De 
controle-elementen zijn (bijvoorbeeld) MACs die de data-elementen beschermen 

10 (bescherming kan ook via codering of versleuteling plaatsvinden). De data-elementen 
zijn het frankeerkenmerk en de identificaties van het betaalmiddel (bijvoorbeeld smart 
card 16/18), de uitgiftemachine 2, 50 en de frankeermachine 20 (of printer 62, indien 
gewenst), en de betaling. Zie figuur 9, waarin de volgende stappen van het 
valideringsproces bij gebruik van MACs zijn getoond (bij gebruik van codering of 

1 5 versleuteling is het schema analoog): 

1 . lees MAC*s in, stap 902, en controleer of de ingelezen MACs valide 
zijn, stap 904. Indien dit niet het geval is, dan is de frankering niet valide en wordt een 
apart proces, stap 906, uitgevoerd. 

2. Indien de MACs valide zijn, lees de identificaties van de 

20 uitgiftemachine 2, 50 en frankeermachine 22 (printer 62) bestaan, stap 908 en 
controleer hun geldigheid, stappen 908 - 912. 

3. Lees de identificatie van het betaalmiddel en controleer of deze een 
plausibele is. Dit kan ook in de stappen 908 -912 worden uitgevoerd en is geen harde 
controle. 

25 4. Tenslotte moet de geldigheid van de betaling geverifieerd worden 

door te controleren of er een geldig (nieuw, maar uitgegeven) frankeerkenmerk is 
afgedrukt op het poststuk 22, stap 914. Dit betreft een eenvoudige look-up in de 
tokendatabase in het tweede geheugen 40 plus het markeren van afgedrukt zijn van de 
betreffende unieke bitstring. Indien de methode van "unieke bitstring plus teller", 

30 waarbij de teller ofvvel een aantal malen dat de bitstring mag worden gebruikt ofwel 
een saldo defmieert, wordt toegepast, geldt het volgende: de combinatie van unieke 
bitstring en teller moet worden gecontroleerd. Zoals eerder opgemerkt, is de combinatie 
van bitstring, hoewel vaker gebruikt dan een keer, en teller nog steeds uniek voor 



25 

iedere frankering. Als eerste kan met behulp van de database 40 de geldigheid van de 
unieke bitstring worden bepaald. Immers, deze moet uitgegeven zijn. Als de bitstring 
een bepaalde geldigheidsduur heeft gekregen, kan ook deze worden gecontroleerd. 
Afhankelijk van de betalingsv^ijze (voor verstrekken van de unieke bitstring of na 
5 venverking van een betreffend poststuk door de posterij) zal bijgehouden moeten 
worden wat verstrekt en\of afgedrukt is. In bet geval van niet verstrekte, reeds eerder 
afgedrukte, en/of niet langer geldige unieke bitstrings is de frankering niet valide. 

Als er sprake is van een unieke bitstring, waarbij een bepaald saldo hoort, zal in 
geheugen 40 de combinatie van die bitstring en dat saldo (tellerstand) aanwezig moeten 
10 zijn. Concreet moet blijken dat een dergelijke combinatie nog niet eerder op een 

poststuk werd afgedrukt. Vervolgens moet deze combinatie als zijnde afgedrukt en niet 
meer geldig worden aangemerkt. 

In de database 40 kunnen bij iedere unieke bitstring de volgende gegevens zijn 

vastgelegd: 

15 1 . de uitgiftedatum en geldigheidsduur, 

2. de toegestane betalingswijze (voor bet verstrekken daarvan of na afdrukken 
op een poststuk) en 

3. op poststukken afgedrukte combinaties van de bitstring met saldo 
(tellerstanden). N.B. het is ook mogelijk om alleen een actuele tellerstand centraal bij te 

20 houden en steeds bij waarnemen van een bitstring met een bepaalde tellerstand, deze 
centraal geregistreerde tellerstand aan te passen. Dit zal hierna nog worden toegelicht. 

Venverking en controle op basis hiervan is uitgelegd aan de hand van stappen 
1002 - 1014 in het stroomschema van figuur 10, dat voor zich zelf spreekt. 

Afhankelijk van de betalingswijze, vooraf of achteraf betaald, wordt het ver- 
25 bruik anders geregistreerd. Tevens zijn er simpelere en meer flindamentele 

implementaties van de controles mogelijk, zoals hierna zal worden toegelicht. 

Betaling vooraf ("pre-paid"). 

Bij pre-paid kaarten 18 is er in principe een bepaalde set unieke bitstrings op de 
30 kaart aanwezig, die bij verkoop van de kaart 18 als zodanig in de database 40 worden 
gemerkt. De unieke bitstrings kunnen elk een bepaalde (vaste) waarde 
vertegenwoordigen of elk in combinatie met een teller (saldo) worden verbruikt. In 
ieder geval geldt: na verbruik van de teller(s) zijn de unieke bitstrings ongeldig. 
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Voor de pre-paid bitstrings wordt het initiele saldo geregistreerd (per unieke 
bitstring of totaal per kaart 18, d.w.z. per set unieke bitstrings). Voor iedere frankering 
wordt dan een gedeelte van dit saldo afgehaald. Als het saldo opgebruikt is, dan is de 

bitstring opgebruikt. 

Het controle-proces is gelijk aan dat van de "normale" oplaadbare kaarten. 

In eerste instantie kan de simpele methode, figuur 11, geimplementeerd 
worden, totdat er voldoende aanleiding is om de meer fundamentele, figuur 12, te 
implementeren. 



10 Simpel. 

In het meest simpele geval, zoals toegelicht aan de hand van stappen 1 102 - 
1 108 in figuur 11, wordt alleen een totaalstand bijgehouden. Hierdoor is het niet 
mogelijk om bijvoorbeeld kopieen te detecteren voordat de centraal (geheugen 40) 
geregistreerde tellerstand nul is geworden. Er is wel de garantie dat uiteindelijk het 
1 5 misbruik ontdekt zal worden en dat het totale misbruik niet meer kan zijn dan het 
initiele saldo. 



Fundament eel. 

Als alle fi-ankeringen worden geregistreerd, d.w.z. dat bij de unieke bitstrings is 
20 geregistreerd welke tellerstanden daadwerkelijk op een poststuk zijn afgedrukt, dan zijn 

kopieen te detecteren. De individuele tellerstanden moeten reflecteren dat de initiele 

tellerstand aaneensluitend is verbruikt. Dit is verder uitgelegd aan de hand van stappen 

1202 - 1208 in het stroomschema van figuur 12. 

De initiele tellerstand is te beschouwen als een interval. Iedere tellerstand is 
25 daaruit een subinterval. Nu moet de doorsnijding van elk tweetal subintervallen leeg 

zijn, en moet de vereniging van alle subintervallen de intitiele tellerstand overdekken. 

Dit laatste hoeft niet in zijn geheel te gebeuren, bijvoorbeeld omdat bepaalde ge- 

fi-ankeerde poststukken nooit voor bezorging aangeboden zijn, of omdat een gedeelte 

van het saldo nog niet gebruikt is. 
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Betaling achteraf ("post-paid") 

Ook hier gelden twee methodes. Principieel wordt voor elke transactie een 

unieke bitstring "verbruikt". 
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Om implementatie-technische redenen kan gekozen worden voor het verbruik 
van een unieke bitstring voor een te definieren reeks van transacties. Naast "verbruik" 
van de bitstring wordt hier bij het frankeren een teller toegepast die net als in 
conventionele frankeermachines het in rekening te brengen verbruik registreert. 
5 Aan het te verbruiken saldo kan een limiet gesteld worden (in tijd of in geld). 

Bij overschrijding is heropladen van de kaart 18 vereist. 

Bij post-paid wordt bijvoorbeeld voor iedere frankering een teller met een of de 
gefrankeerde waarde opgehoogd. Dit kan tot een bepaalde limiet is bereikt, waama het 
eerder genoemde heropladen van de kaart vereist is. Op het moment van heropladen 
10 kan de kaarthouder "kwijting" krijgen voor het gebruik tot op dat moment mits 
uiteraard ingestaan wordt voor betaling van het gefrankeerde. 

Een implementatievariant bestaat uit het feitelijk verlagen van de teller vanaf 
een maximum waarde, welke eenvoudig bij aanschaf ingesteld kan worden. Zodra de 
teller op 0 is aangekomen, is de bitstring ongeldig geworden. Voor ongelimiteerd 
15 gebruik kan de limiet dan op een zeer grote waarde worden gezet, die in de praktijk 
groot genoeg is. 



Simpel. 

Als wordt afgezien van de controle op duplicaten, dan kan in eerste instantie 
20 worden volstaan met het bijhouden van het aantal frankeringen: zie stappen 1302 - 
1308 in figuur 13. De optie van verbruikssaldo is in de figuur niet aangegeven, maar 
werkt analoog. 

Fundamenteel. 

25 Voor controle op duplicaten zullen alle individuele tellerstanden bij de unieke 

bitstring moeten worden bijgehouden. In principe is bijvoorbeeld een bitmap hiertoe 
een geeigend middel. Dit is verder uitgelegd aan de hand van stappen 1402 - 1408 in 
figuur 14. Doordat de tellerstanden in principe opeenvolgend zijn, en eenmaal 
gefrankeerde poststukken binnen een gelimiteerde periode moeten worden aangeboden, 

30 kan de actuele grootte van de bitmap beperkt worden door bij te houden welke 

tellerstand de laatste voor de ingang van de betreflfende periode was. Deze stand en de 
bitmap worden dagelijks aangepast. Ook hier is de optie van het gebruik van een 
verbruikssaldo niet in de figuur opgenomen. 



nodig zal zijn. Een dergelijke voordelige volgorde kan bijvoorbeeld (alfa)numeriek 
zijn. 

De controle kan fysiek plaatsvinden in de centrale 34. In plaats daarvan kan de 
controle echter ook op een aantal geografisch gescheiden locaties plaatsvinden, 
5 bijvoorbeeld op die locaties waar de tweede sorteergang plaatsvindt. Hierdoor is het 
onderhouden van een centrale database in centrale 34 lastiger, want dit vereist transport 
van uitgegeven unieke bitstrings naar de gescheiden controlecentra via een 
gegevensdrager of via een adequate netwerkverbinding tussen de controlecentra en de 
centrale 34. Merk op dat (illegale) duplicaten van frankeerkenmerken op bij ver- 
1 0 schillende sorteercentra aangeboden poststukken in de tweede sorteergang te 
identificeren zijn. 

In het geval het bezorgadres beveiligd in het frankeerkenmerk is opgenomen, is 
het niet meer mogelijk om op eenvoudige wijze het frankeerkenmerk te kopieren om 
post naar verschillende bezorgadressen (ontvangers) te sturen. 
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Conclusies 

Werkwijze voor het controleren van een frankeerkenmerk (28), dat tenminste een 
identificatiecode en een unieke bitstring omvat, omvattende de volgende 
stappen: 

inlezen (800-804) van het frankeerkenmerk (28), 
decoderen (808-8 1 0) van het frankeerkenmerk (28), 

controleren (908-910) of de identificatiecode correct is door deze te vergelijken 
met in een geheugen (40) opgeslagen gegevens, 

controleren (1002-1014) of de unieke bitstring geldig is door deze te vergelijken 
met in het geheugen (40) opgeslagen gegevens, 

Werkwijze volgens conclusie 1, waarbij de identificatiecode en de unieke 
bitstring beveiligd zijn met behulp van een Message Authentication Code en/of 
door middel van codering en de werkwijze ook de stap omvat van het 
controleren (902-904) van de Message Authentication Code en/of de codering. 
Werkwijze volgens conclusie 1 of 2, waarbij het frankeerkenmerk een 
terminalidentificatiecode omvat die bij een terminal behoort die de unieke 
bitstring aan een gebruiker heeft verstrekt. 

Werkwijze volgens een van de voorgaande conclusies, waarbij de 
identificatiecode een gebruikersidentificatiecode en/of een 
afdrukidentificatiecode omvat, welke afdrukidentificatiecode behoort bij een 
afdrukeenheid die het frankeerkenmerk heeft afgedrukt. 

Werkwijze volgens een van de voorgaande conclusies, waarbij het 
frankeerkenmerk een combinatie van de unieke bitstring en een tellerwaarde 
omvat en de werkwijze tevens de volgende stappen omvat: 

aftrekken van de tellerwaarde van een bij die unieke bitstring opgeslagen 
resterende tellerstand in het geheugen (40) en controleren of de resterende 
tellerstand meer bedraagt dan nul, en zo ja, dan vaststellen dat het 
frankeerkenmerk geldig is en zo niet, dan vaststellen dat het frankeerkenmerk 
ongeldig is. 

Werkwijze volgens een van de conclusies 1 t/m 4, waarbij het frankeerkenmerk 
een combinatie van de unieke bitstring en een tellerwaarde omvat en de 
werkwijze tevens de volgende stappen omvat: 
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controleren of deze combinatie voorkomt in het geheugen (40), zo ja, dan 
vaststellen dat het frankeerkenmerk geldig is, zo niet, dan vaststellen dat het 
frankeerkenmerk ongeldig is. 

Werkwijze volgens een van de voorgaande conclusies, waarbij tevens wordt 
gecontroleerd of een bij het frankeerkenmerk horende geldigheidstermijn is 
verlopen. 

Werkwijze volgens conclusie 5, 6 of 7, waarbij, indien is vastgesteld dat het 
frankeerkenmerk geldig is, een routine wordt gestart voor het automatisch 
achteraf betalen van een bij het frankeerkenmerk horende rekening, 
Werkwijze volgens een van de voorgaande conclusies, waarbij het 
frankeerkenmerk zich op een poststuk bevindt dat ten behoeve van bezorging in 
ten minste een eerste en daarna een tweede sorteercentrum wordt gesorteerd, dat 
de stappen a en b worden uitgevoerd in het eerste sorteercentrum en de daaruit 
verkregen informatie naar een controlecentrum wordt gestuurd, waarna de 
stappen c en d worden uitgevoerd in het controlecentrum voorafgaand aan 
sortering in het tweede sorteercentrum. 

Stelsel voor het controleren van een frankeerkenmerk (28), dat tenminste een 
identificatiecode en een unieke bitstring omvat, omvattend middelen voor: 
inlezen van het frankeerkenmerk (28), 
decoderen van het frankeerkenmerk (28), 

controleren of de identificatiecode correct is door deze te vergelijken met in een 
geheugen (40) opgeslagen gegevens, 

controleren of de unieke bitstring geldig is door deze te vergelijken met in het 
geheugen (40) opgeslagen gegevens, 

Stelsel volgens conclusie 10, waarbij de identificatiecode en de unieke bitstring 
beveiligd zijn met behulp van een Message Authentication Code en/of door 
middel van codering en het stelsel ook middelen omvat voor het controleren 
(902-904) van de Message Authentication Code en/of de codering, 
Stelsel volgens conclusie 10 of 11, waarbij het frankeerkenmerk een 
terminalidentificatiecode omvat die bij een terminal behoort die de unieke 
bitstring aan een gebruiker heeft verstrekt, 

Stelsel volgens een van de conclusies 10 t/m 12, waarbij de identificatiecode een 
gebruikersidentificatiecode en/of een afdrukidentificatiecode omvat, welke 
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afdnikidentificatiecode behoort bij een afdrukeenheid die het frankeerkenmerk 
heeft afgedrukt. 

14. Stelsel volgens een van de conclusies 10 t/m 13, waarbij het frankeerkenmerk 
een combinatie van de unieke bitstring en een tellerwaarde omvat en het stelsel 

5 tevens middelen omvat voor: 

e. aftrekken van de tellerwaarde van een bij die unieke bitstring opgeslagen 
resterende tellerstand in het geheugen (40) en controleren of de resterende 
tellerstand meer bedraagt dan nul, en zo ja, dan vaststellen dat het 
frankeerkenmerk geldig is en zo niet, dan vaststellen dat het frankeerkenmerk 
10 ongeldig is, 

15. Stelsel volgens een van de conclusies 10 t/m 14, waarbij het frankeerkenmerk 
een combinatie van de unieke bitstring en een tellerwaarde omvat en het stelsel 
tevens middelen omvat voor: 

f controleren of deze combinatie voorkomt in het geheugen (40), zo ja, dan 
15 vaststellen dat het frankeerkenmerk geldig is, zo niet, dan vaststellen dat het 

frankeerkenmerk ongeldig is. 

16. Stelsel volgens een van de conclusies 10 t/m 15, tevens voorzien van middelen 
om te controleren of een bij het frankeerkenmerk horende geldigheidstermijn is 
verlopen. 

20 17. Stelsel volgens conclusie 14, 15, of 16, dat, indien is vastgesteld dat het 
frankeerkenmerk geldig is, een routine start voor het automatisch achteraf 
betalen van een bij het frankeerkenmerk horende rekening. 
18. Stelsel volgens een van de conclusies 10 t/m 17, waarbij het frankeerkenmerk 
zich op een poststuk bevindt dat ten behoeve van bezorging in ten minste een 

25 eerste en daarna een tweede sorteercentrum wordt gesorteerd, en het stelsel in het 

eerste sorteercentrum opgestelde middelen omvat voor het uitvoeren van de 
stappen a en b en voor het verzenden van de uit stappen a en b verkregen 
informatie naar een controlecentrum, en het controlecentrum middelen omvat 
voor het uitvoeren van de stappen c en d voorafgaand aan sortering in het tweede 

30 sorteercentrum. 
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